网络安全观察报告攻击态势

Posted 2023-04-07 m0_74079109

tags:

篇首语：本文由小常识网(cha138.com)小编为大家整理，主要介绍了网络安全观察报告攻击态势相关的知识，希望对你有一定的参考价值。

设备类漏洞从未缓解

从图 5.1 中可以看到，针对设备漏洞的攻击占全部利用漏洞攻击的 43%，这和近两年智能路由器等联网设备大规模增长密切相关。正如绿盟科技在《2017 年物联网报告》1 中提到的那样，很多智能设备在设计之初，安全问题并没有被严肃对待，于是随着设备的推广，市场上出现大量常年不更新不维护的高危设备。即使厂商已经发现甚至很早前已经推出解决方法或升级补丁的设备，但是仍有大量设备的脆弱性状况至今仍未有改善，这和设备升级维护机制设计不合理有很大的关系，毕竟设备和传统 PC 不同，
没有复杂的内置应用，也无法有效提供丰富的检测防御和自动维护服务，这样一来黑客攻击成功率极高，成本和复杂度极低。
图 5.2 设备漏洞利用抽样统计
在 2018 年，和其他攻击流量对比，设备漏洞攻击的情况从未得到有效缓解，另一方面也说明，设备漏洞状况长期为人所忽略。从监测情况来看，下列设备及漏洞被黑客攻击还是比较严重的：

Netcore / netis 路由器
后门- D-Link dsl-2750b 任意命令执行漏洞
大华监控设备非授权访问漏洞
TP-Link无线路由器 http/tftp 后门漏洞
D-Link路由器 user-agent 后门漏洞 (CVE-2013-6026)
ASUS路由器固件 Asuswrt Lan 后门命令执行漏洞 (CVE-2014-9583)
华为 HG532 路由器远程命令执行漏洞 (CVE-2017-17215)
施耐德派尔高 Sarix Pro 网络摄像头 import.cgi xml
实体注入漏洞- 施耐德派尔高 Sarix Pro 摄像头
session.cgi 程序缓冲区溢出漏洞- Motorola 无线路由器 WR850g 认证绕过漏洞 (CVE-2004-1550)
在 2018 年 2 月，Radware 的信息安全专家 Pascal Geenens 分析了一个 DDoS 攻击组织，该组织利用一个名为 JenX 的恶意带软件感染的物联网设备发动 DDoS 攻击。具体而言，JenX 正是利用 CVE- 2017–17215 和 CVE-2014-8361 感染华为 HG532 路由器和运行 Realtek SDK 的设备，和完全分布式僵尸网络 Mirai 不同的是，该僵尸网络由服务器完成漏洞利用和僵尸主机管理的任务。在 7 月，黑客利用 CVE-2017–17215 仅仅在一天内就构建了一个 18000 台僵尸网络主机构成的僵尸网络。可见 JenX 的影响面之大 1。

服务器漏洞利用

在所有的漏洞利用中，服务器漏洞是被利用最多的。从告警日志量来看，4,5 两个月被攻击的数量是最多的。
图 5.3 服务器类漏洞抽样统计
在针对服务器的漏洞攻击中， Web 服务器受到的攻击最多。大多数网站都存储有价值的信息，如信用卡号，电子邮件地址和密码等。这使他们成为攻击者的目标。另外，污损的网站也可用于传播宗教或政治意识形态等。我们将在 5.2 节对此做详细的分析。
图 5.4 服务器类漏洞按应用分类
Web服务器 57.6% Windows服务器 25.6%
数据库服务器 10.1%
DNS服务器 1.5%
邮件服务器 1.4%
文件服务器 1.0%
扫描服务器 0.1%
其它 2.8%
Windons 服务器的漏洞利用排在第二位，大多数是和 Samba 服务相关的漏洞。在 2018 年被利用比较多的漏洞有：

windows smb server 信息泄露漏洞扫描 (CVE-2017-0147)
windows smb 远程代码执行漏洞 (shadow brokers eternalblue)(CVE-2017-0144)
windows smb 操作解析远程代码执行漏洞 (ms11-020)
windows smb 远程堆覆盖漏洞 (CVE-2008-4834)
samba 远程代码执行漏洞 ( 永恒之红 )(sambacry)(CVE-2017-7494)
臭名昭著的 WannaCry 蠕虫正是利用了“永恒之蓝”漏洞 (MS-010, 包括 CVE-2017-0144、CVE- 2017-0147 等多个 SMB漏洞编号 )，感染了大量的计算机，该蠕虫感染计算机后会向计算机中植入敲诈者病毒，导致电脑大量文件被加密。在 2018 年 8月，台积电遭受 WannaCry 勒索病毒攻击导致生产线瘫痪，造成 25.96 亿新台币损失。
另外，Petya 勒索、NotPetya 勒索、FancyBear 窃取信息、Retefe 银行木马、WannaMiner 挖掘、 ZombieBoy 木马、bulehero 蠕虫病毒等一系列样本都利用了“永恒之蓝”漏洞，另外，APT组织也将“永恒之蓝”纳入武器库，“永恒之蓝”漏洞逐渐成为被利用率最高的漏洞之一。

应用类漏洞

应用软件类漏洞攻击主要针对个人用户与使用者，当然这些用户中也会包括核心资产的管理人员，黑客利用钓鱼邮件，通过恶意链接、恶意附件的形式投递恶意程序，在用户点击相关资源时，对应程序的漏洞会被触发，最终导致感染和信息泄露。
图 5.5 应用软件类漏洞抽样统计
在应用软件类漏洞利用攻击中，浏览器类受到的攻击最多，占到了全部分此类攻击的 56.7％，微软的 Internet Exporer/Edge 是被攻击最多的应用软件。浏览器漏洞利用比较高的漏洞有：

microsoft edge profiledldelem 类型混淆
mozilla firefox/thunderbird/seamonkey http 响应分离漏洞
microsoft internet explorer 远程内存破坏漏洞 (CVE-2016-7287)(ms16-144)
microsoft ie 对象处理内存破坏漏洞 (ms08-078)
microsoft edge scripting engine remote 内存破坏漏洞 (CVE-2018-0773)
图 5.6 应用软件类漏洞按应用分类
浏览器应用 48.8%
Flash应用 16.8%
Office应用 3.1%
Apple应用 0.6%
PDF应用 0.5%
其它 30.2%
Flash 虽然被爆的漏洞数目相对少一些，但利用率还是比较高的，在 2018 年，被攻击最多的漏洞 TOP5 如下：
Adobe Flash player shader 缓冲区溢出漏洞
Adobe Flash player 远程拒绝服务漏洞
Adobe Flash player “asnative 301” 函数空指针引用拒绝服务漏洞
Adobe Flash 0day 漏洞 CVE-2018-4878
Adobe Flash player localeid determinepreferredlocales 越界访问漏洞 (CVE-2017-3114)
Office 漏洞常被大家忽，但却备受黑客喜爱，众多专业黑客组织对重要目标的攻击，会选择使用 Office 高危漏洞。APT缓和 BlackTech 就利用 Office 公式编辑器漏洞 CVE-2018-0802 和 CVE-2017- 11882 实施过攻击 [^1]。我们监测到的被利用比较高的漏洞有：
Microsoft Word 文件信息块内存破坏漏洞（MS08-009）
Microsoft Office 远程代码执行漏洞 (CVE-2017-8570)
microsoft frontpage post 请求远程缓冲区溢出攻击
Microsoft Office Sharepoint Server 管理权限提升漏洞（MS08-077）
Microsoft Office 远程内存栈溢出漏洞 (CVE-2018-0802)
5.2 Web 攻击

攻击态势

在 2018 年，针对 Web 服务器的攻击中，89% 的攻击仍然是一些常规的攻击手段，包括服务器信息泄露，资源盗链，SQL 注入，跨站脚本攻击等。传统的攻击手段仍然被大量的使用，需要持续关注。
图 5.7 针对 Web 攻击的攻击类型分布
服务器信息泄露 27.6%
资源盗链 15.6%
SQL注入攻击 15.0%
跨站攻击 6.8%
Web插件漏洞攻击 6.6%
Web服务器漏洞攻击 6.4%
路径穿越攻击 5.2%
命令注入攻击 4.9%
非法下载 4.5%
其它 7.3%
黑客利用 Web 服务器漏洞或插件漏洞的攻击比例在逐年增加。在 2018 年，利用漏洞进行的 Web 攻击占了占全部 Web 攻击的 11%，和 2017 年相比有所增加。也不容小。受攻击最多的 Web 框架有 Struts2、Microsoft IIS、WebLogic 等。
图 5.8 针对 Web 漏洞攻击的 TOP10
单位：万次 Apache 37
2. Web 漏洞利用
Struts2 框架一直是攻击的热点。从 2007 年 7 月到 2019 年 3 月这十多年间，Struts2 被披露的漏洞数目 57 个，其中远程代码执行漏洞，由于威胁性大，利用难度低，被黑客大量使用。在 2018 年，我们监测对针对 Struts2 的攻击中，被利用比较多的漏洞如下：

Struts2 远程代码执行漏 (2-45/S2-46)
这两个漏洞都是由报错信息包含 OGNL表达式，并且被带入了 buildErrorMessage 这个方法运行，造成远程代码执行。在 2018 年，一半以上的针对 Struts2 的攻击都是利用的这个漏洞。
Struts2 远程代码执行漏（S2-32/S2-33/S2-37）
这三个漏洞都是抓住了 DefaultActionInvocation 中会把 ActionProxy 中的 method 属性取出来放入到 ognlUtil.getValue(methodName + “()”, getStack().getContext(), action); 方法中执行 OGNL表达式。
Struts2 远程代码执行漏 (S2-16)
DefaultActionMapper 类支持以 action:，redirect: 和 redirectAction: 作为访问前缀，前缀后面可以跟 OGNL 表达式，由于 Struts2 未对其进行过滤，导致任意 Action 可以使用这些前缀执行任
意 OGNL 表达式，从而导致任意命令执行。
Struts2 rest 插件反序列化漏洞 (S2-52) 　
当 Struts2 使用 REST插件使用 XStream 的实例 xstreamhandler 处理反序列化 XML有效载荷时没有进行任何过滤，可以导致远程执行代码，攻击者可以利用该漏洞构造恶意的 XML内容获取服务器权限，获取业务数据或服务器权限，存在高安全风险。
由上可见，针对 Struts2 的漏洞利用，除 S-52 外，都是框架执行了用户传进来的 OGNL 表达式，造成远程代码执行，可以造成命令执行，服务器文件操作、危险代码执行等，只不过需要精心构造不同的 OGNL代码。
而针对 WebLogic 的漏洞利用，主要是以反序列化为主。在 2018 年，有超过 80% 的针对 WebLogic 的攻击使用了以下漏洞：
WebLogic ws-wsat 组件反序列化漏洞 (CVE-2017-10271)　
这个漏洞的本质原因是其引用的 XMLDecoder 库存在远程代码执行问题，可直接导致整个系统被控制。由于该漏洞是走 http 协议，因此备受黑客的青睐。同时这个漏洞也是 2017 年初爆出的 Weblogic 漏洞（CVE-2017-3506）的绕过。
另外，在 2018 年新出现的一些漏洞，我们也监测到了有效的攻击，应该值得我们注意：
WebLogic 组件反序列化漏洞（CVE-2018-2628）
攻击者可以在未授权的情况下通过 T3 协议对存在漏洞的 WebLogic 组件进行远程攻击，并可获取目标系统所有权限。
WebLogic 组件反序列漏洞（CVE-2018-2893）
该漏洞通过 JRMP 协议利用 RMI机制的缺陷达到执行任意反序列化代码的目。攻击者可以在未授权情况下将 payload 封装在 T3 协议中，通过对 T3 协议中的 payload 进行反序列化，从而实现对存在漏洞的 WebLogic 组件进行远程攻击，执行任意代码并可获取目标系统的所有权限。
在 Web 漏洞中，反序列化漏洞由于其简单，可远程利用的特点格外受到黑客的青睐。绿盟科技《2017 年反序列化漏洞年度报告》1 中指出，厂商对反序列化漏洞的应对，往往修复、绕过、再修复、再绕过[^1]的恶性循环，因此反序列化漏洞层出不穷。它对于攻击者来说是价值极高的，因为漏洞本身的利用难度比较低，并且一旦利用成功，黑客能够获得较高的权限，是黑客用来传播病毒，挖矿程序等恶意软件的攻击方法之一。
在 2018 年，Drupal 框架的漏洞利用也具有一定的典型性，绿盟威胁情报中心在 5 月针对 Drupal 漏洞被挖矿程序利用的传播感染态势进行了详尽的分析 [^2] ：
• Drupal内核远程代码执行漏洞（CVE-2018-7600）　
Drupal 官方在 2018 年 3 月 28 日发布 sa-core-2018-002 (CVE-2018-7600) Drupal 内核远程代码执行漏洞预警，之后一个月内又连续发布两个漏洞，其中包含一个 XSS 和另一个高危代码执行漏洞 sa-core-2018-004 (CVE-2018-7602)。虽然漏洞已经披露，相关利用的 PoC 却在两周后才放出，而仅仅在 PoC 披露后几个小时，就发现有利用此漏洞的攻击出现。在随后的时间内互联
网上针对 Drupal 程序的攻击迅速增加此后几个月内，互联网上针对 Drupal 程序的攻击都非常频繁。
官方发布CVE-2018-7600漏洞预警官方发布CVE-2018-7602漏洞预警 Drupal 8.x poC公布 Drupal 7.x poC公布
5.3 DDoS 攻击
5.3.1 攻击态势
2018 年，我们监控到 DDoS 攻击次数为 14.8 万次，攻击总流量 64.31 万 TB，与 2017 年相比，攻击次数下降了 28.4%，攻击总流量没有明显变化。这主要是因为 DDoS 攻击规模逐年增大，即中大型规模的攻击有所增加。
图 5.9 攻击次数与攻击流量
次 TB 8.0
万万：： 7.0 位 2.5 位
单单 6.0
数量
次 1.5 流 4.0 击击
攻攻 3.0
月份月份
2017年 2018年
从全年来看，2018 年 DDoS 攻击次数明显下降，得益于对反射攻击有效的治理。2018 年以来， CNCERT 组织各省分中心，联合各地运营商、云服务商等对我国境内的攻击资源进行了专项治理，包括使用虚假源地址治理以及对反射攻击源通告等手段。通过治理，有效的减少了反射攻击的成功率，迫使攻击者转向其它攻击手段。从数据来看，2018 年反射攻击减少了 80%，而非反射攻击增加了 73%，反射攻击仅占 DDoS 攻击次数的 3%。
图 5.10 反射攻击次数与其他类型的攻击次数对比图
2017年 2018年
反射攻击非反射攻击
数据来源：电信云堤，ATM
从 2018 年各月攻击次数来看，上半年 DDoS 攻击逐月小幅增长，而下半年有加速增加的趋势。我们认为，DDoS攻击逐月增加，与虚拟货币的价格回落相关。在《2017 DDoS 与 Web 应用攻击态势报告》[^3] 中，我们指出，随着虚拟货币的升值，黑产开始将掌握的“优质” Botnet 资源从犯罪成本较高的 DDoS 攻击活动转而投向犯罪成本相对较低但收益更高的挖矿活动中。在 2018 年，随着虚拟货币的价格回落，挖矿的收益日益减少，攻击者选择 DDoS 攻击的倾向增高，DDoS 攻击逐月增加。
将各月份比特币价格与 DDoS总流量趋势对比，其 Pearson 相关系数为 -0.48，呈一定的负相关性，这更加证实了我们去年的观点。
提出了更高的挑战。
图 5.11 比特币价格与 DDoS 攻击总流量趋势对比图
2017 年 Apr Jul Oct 2018 年 Apr Jul Oct
虚拟货币价格指 DDoS攻击总流量
数据来源：电信云堤
近年来，超大规模的攻击事件日益普遍。2018 年 3 月，著名代码托管网站 GitHub 遭受到峰值达到 1.35Tbps 的 DDoS 攻击，而截至目前， DDoS 攻击已经创造了达到 1.7Tbps 峰值带宽的攻击 [^1]。
从最近两年各月数据来看，攻击峰值在 100Gbps 以上的大型攻击的次数呈加速上升趋势。大流量攻击事件的增多，说明攻击者掌握的攻击资源规模上升和攻击能力的增强
图 5.12 峰值大于 100Gbps 的攻击次数变化
2017年 Apr Jul Oct 2018年 Apr Jul Oct
数据来源：电信云堤
无论是 DDoS 攻击能力的普遍提高，还是平均峰值创历史新高，都说明 DDoS 攻击态势的严峻性。可以说，黑客普遍拥有了释放特大流量的能力，并且能力仍然处于持续快速提高的进程中，这是防御和治理人员需要应对的挑战。

参考资料

绿盟 2018年网络安全观察报告

友情链接

GB-T 20269-2006 信息安全技术信息系统安全管理要求

腾讯云2018上半年游戏行业DDoS态势报告，实用干货！

前言

最新发布的2018全球游戏市场报告指出，2018年全球的游戏玩家数达到23亿，他们在游戏上花费将达到1379亿美元，其中中国游戏市场规模将达到379亿美元，占全球游戏市场收入的25%以上，中国市场营在营收规模和玩家数量均排名第一。伴随着游戏业务的繁荣发展，针对游戏行业的DDoS攻击也在持续爆发，攻击峰值不断创记录。

掉线，闪退，卡顿，登录失败，这些糟糕的游戏体验有可能并不是跟你的网络环境有关。2018年，随着MEMCACHED反射手法被攻击者启用，全球DDoS攻击的峰值达到1.7Tbps，腾讯云上也出现Tbps级别的攻击，这意味着，对于无论是是安全从业者还是游戏行业本身，都是一个巨大的挑战。

此次的《2018上半年游戏行业DDoS态势报告》，依托腾讯云宙斯盾防护系统上半年攻防积累的大数据，分别从时间，地域，次数多个维度分析了上半年DDoS攻击态势，剖析了黑产链条和典型案例。

2018年上半年DDoS攻击大盘：

攻击次数略微下滑，攻击峰值大幅增长

1. DDoS攻击形势：Tb级时代

2018年，全球最大DDoS攻击的峰值达到1.7Tbps，同比增长112%。随着带宽资源的不断丰富，各种设备、攻击软件的数量增长，一个即使“功力”没那么深厚的黑客也能轻松发起超大流量的DDoS攻击。

同期腾讯云上呈现的DDoS攻击态势可总结为：攻击次数略微下滑，攻击峰值大幅增长。结合上半年（截止到2018年6月25日数据），腾讯云总攻击次数同比略微下滑10%，攻击峰值也达到1.23Tbps，也是国内目前最大流量攻击，同比增长134%。

上半年超过100G的攻击1000+次，约为去年同期的1/4。2月份和3月份为大流量攻击爆发的月份，刚好处在春节假期时间和上班族返工之时。

100G以上的攻击中，大部分攻击的峰值在100G~200G区间，占比72%。

DDoS攻击的行业分布方面，游戏行业成为最大受害行业，占据近40%的攻击。此外，网络服务（占比4%）和企业门户（占比2%）也是攻击占比较高的行业。

DDoS攻击地域分布：被攻击企业集中一线、新一线城市

被攻击企业的地域分布与所在区域的经济发展水平高度重合，被攻击企业在东南沿海发达省份呈现明显的聚集，此外四川，陕西，河南，湖北，湖南等省份也有较多企业被攻击。

城市维度上，被攻击企业高度聚集在一线和新一线城市（占比达到78%）。

0x2 2018年上半年DDoS黑产形势：国外攻击源占比41%

1. 攻击团伙

通过监测发现，目前的DDoS黑产团伙呈现如下的3种形态：

1）高级跨国DDoS团伙

此类团伙技术能力较强，并掌握众多攻击资源，核心人员隐匿在国外，以攻击游戏行业头部站点获取佣金为主要获利手段。团伙人员众多，分工明确，有专门的后勤，财务，技术等角色，可发起数百G甚至上T的超大流量攻击。今年4月份在深圳南山法院公开审理的“暗夜”攻击团伙就属于这一类。

2）页端平台

通过购买国外的发包机（数台至数十台不等），搭建页端DDoS攻击平台，并吸引攻击手入驻，通过第三方支付平台充卡交易，目前活跃的此类攻击平台数量在数十家左右，为了防止竞争对手攻击，此类站点基本都会托管在cloudflare。

3）游离的攻击手

这部分人员手头资源相对有限，以个人作案为主，通过网络支付交易。因业内存在诈骗现象（骗测试或者二手单），个人信用是交易是否成功的关键，对于陌生人会要求押金交易或者第三方担保交易，担保者可获得约10%的提成收入。

2. 攻击资源

据统计，2018上半年DDoS攻击源总数超过1500万，主要来自于国内，占比达到59%，主要聚集在3个区域：环渤海区域，江浙以及广东，其中山东省遥遥领先。

国外的攻击源占比41%，美国，俄罗斯，阿根廷是主要的来源国家。

3. 攻击手法

整体来看，通过UDPFLOOD或者SYNFLOOD来造成带宽拥塞仍然是攻击者的首选策略。其中UDP反射放大攻击因为其可观的放大效果，以及可以隐藏行踪的特点，深受攻击者的青睐，在攻击手法占比接近60%。

另外，随着各国对于通过DDoS攻击进行的犯罪活动呈现高压态势，躲避司法追捕成为攻击者确保的目标。2018上半年，共发现有3种可隐匿行踪的新攻击手法被攻击者发掘出来。

自1月份以来。MEMCACHED反射手法以其高达50000倍的放大效率，全球超过10万的可用主机，成为攻击者发起DDoS攻击的利器。从下图可以看出在短短6个月内，MEMCACHED反射手法的占比从不足1%迅速增长到31%，并制造了数次上Tb的DDoS攻击。根据某国外DDoS站点的统计，国外攻击者选用MEMCACHED反射手法的占比也高达54%。MEMCACHED反射手法的威力可见一斑。

另外，今年3月份，基于IPMI协议的UDP反射攻击也被攻击者挖掘出来。此类攻击手法的特征为放大比例为1.1倍，攻击源绝大部分位于北美洲和欧洲等发达地区，IDC服务器占比达90%等。由于可以隐藏行踪，也被黑产攻击者挖掘出来。

在一次针对某游戏行业客户的攻击中，经统计分析，攻击过程中共采集到近百万个攻击源，源端口聚集在常见的TCP端口：80/443/23/22/3389等端口（占比超过80%）。经过探测，发现绝大多数IP的对应端口都是存活的，很明显这个就是利用TCP协议发起的反射攻击。

2018年上半年游戏行业DDoS威胁分析

1. 游戏行业DDoS威胁概述

1）攻击占比（39%）和攻击峰值（1.23Tbps）均为各行业第一

2）平均攻击峰值9.4G

3）平均持续时长1759秒

4）最长持续时长 766744秒

5）平均攻击成本 300元/次，高防用户攻击成本500元/次，棋牌类用户攻击成本 5000~10000元/天

2. DDoS攻击的游戏细分行业分布

上半年，游戏行业的DDoS攻击占比接近40%。其中游戏行业细分行业中，手游（占比32%）和页游（占比15%）是攻击最多的品类。此外，棋牌类游戏的攻击占比为9%，也是DDoS攻击较多的细分行业。

3. 游戏行业DDoS攻击的时间分布

通过分析发现，绝大部分攻击的时长在5分钟以内（占比58%），但是也有5%的攻击成了持续时间超过12小时的持久战。

在攻击发起的时机方面，一年365天黑产攻击者都保持在线，并且在元旦，除夕等节假日，攻击者也会突然爆发。相对而言，每天的21点~23点成为攻击者最亢奋的时段。

游戏行业攻击案例

1）某热门端游炸房团伙的“炸房”对抗

攻：代练团伙为确保游戏战绩，在战局不利时使用炸房外挂，调用国外第三方流量压测网站服务发起攻击，以UDP反射、UDP小包、业务报文回放等方式发起攻击，引发对局内玩家掉线，从而消除战败记录提升战绩。

防：依托行业领先的水印方案并加入动态防护特征，并通过四轮交锋，炸房攻击100%防护，并可识别出恶意玩家。

2）腾讯云成功防御国内已知最大流量DDoS攻击1.23Tbps

攻：某游戏公司自18年初以来，连续2个多月遭到到不法份子的DDoS攻击，单月最多攻击次数超过1000次，攻击类型主要为拥塞带宽型+连接型攻击+应用层攻击。

防：指派DDoS防护专家成立应急响应专家小组，并与客户公司的运维团队一起，依据业务特点，引导用户接入腾讯云T级防护容量的高防节点，优化防护策略，多轮对抗，并在4月8日成功防御了1.23Tbps的国内已知最大流量DDoS攻击。

3）未雨绸缪防范针对IPv6的攻击

防：腾讯云从去年就开始紧张有序部署新一代DDoS防护系统，同时对IPv6进行了适配。该方案基于双协议栈技术，同时支持IPv4/IPv6介入。

0x04 游戏行业DDoS防护困境

1.攻击手法愈加复杂

防护困境：攻击手法呈现多样化，复合化，并且不断有新攻击手法涌现。常规抗D产品样本少，迭代慢，另外中小企业的安全能力存在短板，DDoS对抗经验不足，业务很容易被打穿导致业务受损。

解决措施：腾讯云新一代游戏高防解决方案，依托有丰富对抗经验的专业团队，在为大量腾讯自营业务以及海量腾讯云用户服务时可收集大量的攻击样本，在第一时间感知到新威胁，可以快速迭代，给出最佳防护策略。

2. 攻击流量节节攀升

防护困境：目前攻击流量每年都有大幅增长，为了防范DDoS攻击就需要搭建较大的网络带宽和安全设备集群，对于成长型企业来说，面临的冲击和负担十分沉重。

解决措施：腾讯云新一代游戏高防解决方案在全国多个城市构建T级防护容量的高防节点，帮助用户成功防御了国内已知最大流量DDoS攻击。

3. 黑产低门槛化，攻防成本不对等

防护困境：部分手法可以将流量放大数十倍乃至数万倍，黑产工具由专业团伙开发，初中毕业的人员经过黑产团伙训练，即可发起数百G的攻击，动辄给被攻击企业造成数百万的损失。

解决措施：腾讯云对DDoS攻击相关的情报进行持续监测，对部分严重威胁到腾讯云用户以及对行业正常秩序的危害较大的DDoS黑产团伙，和国家有关部门一起，进行持续的刑事打击。

游戏行业DDoS攻击应对建议

1．标杆型客户

1）建议配置BGP高防IP+三网高防IP，隐藏源站IP。用高防IP充足的带宽资源应对可能的大流量攻击行为，辅助IP自动调度能力。

2）建议通过共享防护包的方式，覆盖所有公网服务。

3）订阅云计算厂商的威胁情报。在行业内出现威胁爆发时进行必要的演练。

4）在面对高等级DDoS威胁时，接入云计算厂商的行业解决方案，必要时请求DDoS防护厂商的专家服务。

2．成长型客户

1）建议配置BGP高防IP+三网高防IP，隐藏源站IP。用高防IP充足的带宽资源应对可能的大流量攻击行为，辅助IP自动调度能力。

2）在发生超大流量攻击时购买超大容量三网高防，切换到三网高防。

3）面临超大流量攻击时封禁海外流量，或者封禁业务主要面向省份之外的攻击主要来源省份流量。

3．传统端游客户

1）建议配置BGP共享高防包产品，对服务器进行全面防护。

2）与云计算厂商合作，接入传统端游行业解决方案。

3）建议通过共享防护包的方式，覆盖所有公网服务。

4）新游发布，重点业务保障，可以考虑水印防护和高防IP方案。

4．手游客户

1）对核心服务开通一定容量的弹性防护的BGP高防包。

2）与云计算厂商合作，接入手游行业解决方案（集成网络加速，CDN等）。